Anneli küsib: kas me sellistele kirjadele peaks kah vastama?
Jah, tegemist on tüüpilise petuskeemiga, millega üritatakse teilt arve avamise ja rahaülekande kulude näol raha ja isikuandmeid välja petta. Niisugustele kirjadele ei ole vaja vastata, samuti ei ole neid vaja ka kellelegi edasi saata.
Parim, mida te teha saate, on need ilma avamata kustutada. Säästate nii iseenda kui ka oma sõprade/IT spetsialistide aega ja närve.
Eks nii mõnedki meie hulgast ole ülikoolipõlves pärast kuuendat kannu teoretiseerinud igasugu süvafilosoofilistel või siis täppistehnoloogilistel teemadel. Kuda saab moos kommi sisse? Miks on vorstil alati kaks otsa? Milliste võtetega puuritakse augud makaronide sisse? Just sarnased põletavad küsimused andsid ja annavad ka tulevikus ammendamatuid võimalusi virgutavaks ajudegümnastikaks ning meenusid mulle millegipärast ka siis, kui lugesin parajat elevust tekitanud uurimust WiFi-ussist (PDF), mis võib tõelise pandeemiana nakatada vaat et kõik suurlinnades tihedasti üksteise kõrval töötavad WiFi ruuterid.
Olgu kohe öeldud, et seesugust ussi, viirust või muud isepaljunevat pahavara pole seni veel olemas, uurimuse autoreid (Hao Hu, Steven Myers, Vittoria Colizza ja Alessandro Vespignani) huvitas rohkem hüpoteetilise WiFi-pahalase leviku modelleerimine kui selle tööprintsiip. Samuti on neil igati õigus järgmistes punktides:
1. Enamikel WiFi ruuteritel puudub tarkvara, mis jälgiks nende pahavaraga nakatumist (seni pole lihtsalt vaja olnud).
2. Paljud kasutajad ei vaevu muutma ruuterite tehaseseadeid, mis võimaldab pahatahtlikul kasutajal siseneda neisse vaikesalasõnaga (mis on netist kiiresti ja lihtsalt leitav). Muide, Eestis on niisuguseid ruutereid hinnanguliselt 1-2%.
3. WEP-krüpteering, mis on WiFi ruuterites siiamaani vist levinuim, ei ole piisavalt turvaline. Parem oleks kasutada WPA-d.
4. 25% ruuterite salasõnadest on murtavad 65 000 sõna sisaldava sõnaraamatu ning veel 11% salasõnadest miljon sõna sisaldava sõnaraamatu põhjal.
Oletatav rünnakuvektor näeks välja nii: kurikael leiab tehaseseadetes WiFi-purgi, siseneb sinna üldiselt teadaoleva salasõnaga ning vahetab ruuteri välkmälus oleva ruuterit juhtiva originaaltarkvara modifitseeritud versiooniga, mis siis juba iseseisvalt leiab läheduses töötava WiFi ruuteri, murrab vajadusel selle WEP-krüpteeringu (WPA-d peetakse antud mudelis murdmatuks) ja muud turvaabinõud, arvab ära ruuteri parooli ning laeb sellesse ründekoodi sisaldava tarkvara. Ülevõetud ruuter hakkaks siis omakorda ründama naabruses olevaid ruutereid, kuni suurem osa New Yorki, Seattle’i, Bostoni ja Chicago ruutereid oleksid 48 tunni jooksul üle võetud.
Eks sellel hüpoteetilisel rünnakul ole oma nõrgad kohad muidugi ka:
1. Naabruses toimetavate ruuterite ründamiseks peaks ründav ruuter hüplema ühelt kanalilt teisele. Omanik tõenäoliselt märkaks seda pidevatest lühiajalistest sidekatkestustest ning muutuks murelikuks.
2. WEP-krüpteeringu murdmine on küll suhteliselt lihtne, kuid nõuab siiski omajagu arvutusvõimsust. WiFi ruuteri pisike protsessor saab tavaliselt hädavaevu hakkama oma tarkvara jooksutamise ja ühenduse krüpteerimisega, võõra krüpteeringu murdmiseks tarvilikku võimsusvaru tal kardetavasti ei ole.
3. Samuti pole ruuteril kuskilt võtta lisamälu, mis lisaks olemasolevale pisikesele opsüsteemile mahutaks pahavara koos miljonist sõnast koosneva sõnaraamatu ning sadate erinevate tootjate ruuteritele sobivate tarkvaraversioonidega.
4. WiFi ruuterid on oma olemuselt küll sarnased, kuid tegelikult toimetab maailmas ringi sadade, kui mitte tuhandete tootjate riistvara, mis vägagi tõenäoliselt omavahel kuigi ladusalt ei suhtle. Tõenäoliselt annetaks tänulik internetikogukond seesuguse mistahes riistvaraplatvormil töötava softi väljatöötanud kambale õige mitu Suurt Papist Auraha 🙂
5. Lisaks krüpteeringule ja parooldiele on ju olemas ka näiteks IP- või MAC-aadressi põhised filtrid, mida eduka rünnaku tarvis tuleks samuti võltsida. Kardan, et näiteks viimane ei olegi paljudel ruuteritel muudetav.
6. Mina olen küll näinud ruutereid, millel saab firmware upgrade’i teha ainult üle kaabliühenduse…
Kes oskab veel poolt- ja vastuargumente välja tuua?
Või mobiiltelefoni või 30 000-kroonist reisikinkekaarti?
Selleks tuleb anda digiallkiri ja osaleda loosimisel: https://www.arvutikaitse.ee/loos/
Tasuta on loosimine seetõttu, et sihtasutus Vaata Maailma koos oma partneritega soovib propageerida digiallkirja võimalusi ning demonstreerida näitlikult, kui lihtne ja soodne on anda digiallkirja.
Loosimisel osalemiseks tuleb siirduda aadressile https://www.arvutikaitse.ee/loos/, tutvuda loosimistingimustega, täita hilisemaks kontaktivõtmiseks tarvilikud lahtrid ning digiallkirjastada loosis osalemise taotlus (allkirjastatud taotlus saadetakse hiljem ka osaleja meiliaadressile).
Esimene vaheloosimine on juba reedel, 14. detsembril, loosi läheb neli mobiiltelefoni (neist üks Mobiil-ID-ga allkirjastajate vahel). Teine vaheloosimine on 18. jaanuaril, lõplik loosimine aga 6. veebruaril.
Muide, iga osaleja saab anda tervelt kaks allkirja: ühe ID-kaardiga, teise Mobiil-ID-ga. Konfidentsiaalsus ja isikuandmete kaitse on garanteeritud.
Mina ise kahjuks osaleda ei saa, reeglid ei luba 🙁
.
Riigiprokuratuuri teatel on viimasel ajal hakanud internetis levima petukirjad, milles palutakse osaleda Aafrikas elava «sõjapõgeniku» miljonitesse USA dollaritesse ulatuva päranduse kättesaamisel, lubades vastutasuks abistamise eest osa pärandusest.
Mina sain esimese seesuguse elektronkirja juba 9 aastat tagasi, paberkujul liikusid need veelgi varem. Mõned kohalikud ärimehedki jäid suurt raha lubavaid kirju uskuma, lendasid kohapeale, jäid kogu kaasavõetud rahast ilma ja olid veel õnnelikud, et vähemalt elunatuke alles jäi.
Tookord ammu, 1998. aastal olid kirjad muidugi märksa kõrgelennulisemad – jutt käis ikka Aafrika eksdikdaatorite Mobutu Sese Seko ja Samora Macheli miljonitese, mõnikord koguni miljarditesse dollaritesse ulatuvast pärandusest. Personaalselt mulle lubati sellest 4 milli puhtalt kätte 🙂
Tookord viitsisin ka saatja aadressi jälitada. Kirjad olid küll postitatud Yahoo veebimeili kaudu, kuid pisike kaevamistöö viis mind ühe Nigeeria suurima linna Lagose ärikeskuse võrgusõlmeni. Kerge taustauuring aga näitas, et selliseid petukirju vorbiti juba tollal enam-vähem samade Å¡abloonide järgi massiliselt – keegi oskajam tegelane kirjutas teksti valmis ning ülejäänud paljundasid seda siis oma nime alt. Seega enam-vähem sama tööjaotus mis praegugi. Ainus, mis sealjuures kergelt hämmastama paneb, on see, et ikka veel leidub neid, kes sihukeste klassikaliste hanitustega oma rahast ilma oskavad jääda.
Meeldetuletuseks ka üks galerii kõikvõimalikest päranduse- ja muu raha jagajatest.
Mõned F-Secure’i turvapealiku Mikko Hypponeni mõtted tema tänasest ettekandest Estonia talveaias.
F-Secure’i turvalaborisse tuleb 17 000 pahavarakahtlusega koodinäidist päevas, tegelikku pahavara on sellest 300-500 ühikut. Mida on sellegipoolest palju 🙁 Hetkel on teada 250 000 ühikut pahavara, Mikko ennustab selle kahekordistumist aasta jooksul.
10 aastat tagasi tuli muretseda kurjategijate pärast, kes tegutsesid sinuga samas linnas. Nüüd tuleb muretseda arvutikurjategijate pärast, kes tegutsevad näiteks Brasiilias. Hullem veel – kurjategijat ei huvitagi, kes te olete või kus te asute – teda huvitab ainult see, kuidas teilt teie raha ära võtta.
Mikko jutustas ka Tariq al-Daour’ist, kes mängis varastatud krediitkaardinumbritega pokkerit ning ostis nende kaudu kaotatud summade (kokku 2 mln eurot) varustust Iraagi mässulistele.
Tõenäoliselt vene päritolu Storm Worm’i grupi rünnak algas 18.01.2007, kõigepealt lihtsalt exe-failidest manustega. Kuna enamus tulemüüre pidasid selle spämmi kinni, hakati saatma võltslinke youtube’i, mis nõudis videoklipi näitamiseks “plugina” allalaadimiseks. Jätkati pühadekaartidega. Kokku saadi ligi miljonist arvutist koosnev p2p-põhine botnet, millel polnud keskserverit, mida maha võtta. Ehk siis superarvuti, mida ei kontrolli mitte valitsus või suurkorporatsioon, vaid kurjategijad. Lisaks sellele oli botnetil ka viirustõrjujavastane hoiatussüsteem, mis ründas kogu oma võimsusega neid, kes üritasid seda uurida.
Tekkinud superarvutit kasutatakse seesuguse spämmi renderdamiseks, mida tavalistel spämmitõrjetööriistadel raske töödelda. Kui saata välja miljon ühikut spämmi päevas ning sellele reageerib ka 0,0001 protsenti saajatest, teenitakse ikkagi tuhandeid.
Mikko arvates kasutaja harimine ei tööta kunagi – nagunii klikivad ja topivad igale poole oma krediitkaardinumbreid. Kavalamad troojalased, näiteks Torpig, viskavad popup-akna ette siis, kui logite oma pärispanka, küsides lisaautentimist krediitkaardinumbriga. Samuti kasutatakse pärisülekannete tegemisel pisiparanduste tegemist, suunates ülekande näiteks kurjategija arvele. Selliste nõksude vastu kasutajate harimine ei aita.
10-15 aasta pärast on põhiosa internetikasutajaid Aasias (hetkel on seal internetikattuvus vaid 10%). Kes neid kõiki harida jõuab? on Mikko lootusetu. Samas on tema hinnangul tavaliste kurjategijate kõrval kasvamas täppisinfot otsivate spioonide osakaal.
Suurem osa rünnakuid tuleb Ida-Euroopast (eriti Moskva ja Peterburi ümbrusest), Brasiiliast, Ida-Aasiast ja USA-st.
Häkkerifoorumitest saab osta varastatud krediitkaardinumbreid ja turvakleepse, pahavara ja spetsiaalselt teie konkurentide vastu suunatud rünnakuid. Suur osa kevadistest rünnakutest Eesti vastu tuli üüritud botnettidelt. Rahapesuks värvatakse tankiste (soovitavalt kriminaalkorras karistamata :)). Eelmisel aastal kasutati Rootsis ligi tuhandet tankisti ligi 9 miljoni Rootsi pankadel arvetelt varastatud Rootsi krooni väljavõtmiseks…
Tere!
Tahaks jagada oma tagasisidet Microsofti programmerijate “ime” kasutamise osas, kuna Arvutikaitse blogis on kirjutatud üks Priit Aasmäe artikkel selle Microsofti antiviirusliku paketi kohta. Loe edasi: Minu kogemus Microsofti antiviirusega (Windows Live OneCare)